Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 43
Почитайте на эту тему Раскина, особенно про предупреждения. А про опытных пользователей почитайте у Купера.
Опытные пользователи имеют туже самую проблему. Anonymous совсем недавно это доказали на HBGary.
Я буквально пару часов назад вел практику у студентов по пользованию интернетом. При привязывании своих почтовых ящиков к гуглу они поголовно писали пароли от своих ящиков. После этого я прочитал им лекцию «Не используйте пароль от своего почтового ящика!». И узнал, что у большинства из них пароли на вконтакте и мыле совпадают.
Все порядочные люди не хранят пароли пользователей в открытом виде и не лезут читать их почту.
Да, но еще порядочнее — предупреждать пользователей о возможной опасности
А в чем проблема расшифровать md5? Признаюсь, когда был владельцем небольшого тематического сайтика, любопытства для как-то посетил почтовый ящик одного человека. А вообще да, порядочные люди почту чужую не читают. Согласен.
Тогда можно выводить сообщение «Владельцы форума — люди порядочные, так что не стесняйтесь, вводите пароль от своего ящика»
В порядочности :) Ну и потом, на md5 свет клином не сошелся.
В том, что расшифровать md5 невозможно, а подобрать какой-нибудь достаточно сложный пароль — время. А когда у тебя тысячи пользователей…
md5 тут вообще не причём.
однажды фишеры увели массу паролей у вконтактеров и выложили базу в открытом виде.
и чем тут помогло бы md5 со стороны вконтакта? ничем.
а если бы была автоматическая проверка — то ящики пострадавших не спалились бы.
однажды фишеры увели массу паролей у вконтактеров и выложили базу в открытом виде.
и чем тут помогло бы md5 со стороны вконтакта? ничем.
а если бы была автоматическая проверка — то ящики пострадавших не спалились бы.
Ага. Я так и представил себе админа, который предупреждение большими красными буквами написал, но чужую почту при этом почитывает.
Этакий Чикатило, который расклеивает листовки: «Осторожно! В городе орудует маньяк!».
Этакий Чикатило, который расклеивает листовки: «Осторожно! В городе орудует маньяк!».
Можно пойти вообще радикально — при регистрации проверять подходит ли пароль для почты и выводить предупреждение пользователю. Хотя тут конечно стоят вопросы этичности и т.д.
Не уверен, есть техническая возможность проверять возможность входа в почту для любых почто-провайдеров. Но наверняка можно сделать проверку основных — gmail, mail.ru, yandex.ru, hotmail и т. п.
В любом случае, если форма регистрации вдруг выдаст пользователю фразу типа «мы зашли в ваш ящик и увидели что у вас там 24 непрочитанных письма» — это заставит пользователя задуматься :)
Но, по-моему, гораздо проще вывести понятное предупреждение — читать-то вроде все умеют
В любом случае, если форма регистрации вдруг выдаст пользователю фразу типа «мы зашли в ваш ящик и увидели что у вас там 24 непрочитанных письма» — это заставит пользователя задуматься :)
Но, по-моему, гораздо проще вывести понятное предупреждение — читать-то вроде все умеют
Вывести еще одно сообщение, чтобы еще сильнее информационно засорить форму?) Другие почто-провайдеры? Воспользуемся MX-записями, правда тут уже сложнее логин может быть как user, так и user@domain.com либо даже как-то хитрее.
Доступ к почте для получения списка контактов точно используют Facebook и Livejournal, нужно просто предупредить пользователя, желательно, конечно, не постфактум :)
Доступ к почте для получения списка контактов точно используют Facebook и Livejournal, нужно просто предупредить пользователя, желательно, конечно, не постфактум :)
Хорошо, тогда было бы неплохо, чтобы почтопровайдеры предупреждали пользователей.
Например, Gmail показывает — с каких IP входили недавно в почту и если замечает что-то подозрительное — предупреждает. Таким же образом Gmail мог бына видном месте писать, что не рекомендует использовать текущий пароль в других местах. Это ведь несложно — просто надпись.
Например, Gmail показывает — с каких IP входили недавно в почту и если замечает что-то подозрительное — предупреждает. Таким же образом Gmail мог бына видном месте писать, что не рекомендует использовать текущий пароль в других местах. Это ведь несложно — просто надпись.
А в чем проблема? Узнать smtp-сервер и попробовать отправить письмо на тот же e-mail. Заодно пользователь будет сразу уведомлен.
Если пользователь хочет быть взломан, криптозащита, шифрование и все прочие меры бессильны.
Если смысл слова «пароль» не доходит, то энциклопедическая статья, которую нужно прочитать перед регистрацией на эту тему поможет?
Если смысл слова «пароль» не доходит, то энциклопедическая статья, которую нужно прочитать перед регистрацией на эту тему поможет?
Зачем статья? Достаточно фразы «Не используйте пароль от своего почтового ящика».
Не заставляют же пользователя изучать особенности брутфорса, когда пишут «Длина пароля должна быть не менее 6 символов»
Не заставляют же пользователя изучать особенности брутфорса, когда пишут «Длина пароля должна быть не менее 6 символов»
Отличное предложение. Сам некоторое время недоумевал по этому поводу, пока не приелось, как и все остальное в этом мире. Более того, такая практика научит «чайников» (так же как учит не вводить пароли «бог», «секс», и т.п.) и они будут осведомлены.
Очевидно, что это должно быть не воззванием к владельцам сайтов, а свойством браузера — следить за одинаковостью паролей и предупреждать о недопустимости. (Правда, неопытным будет очень трудно объяснить, что браузер не хранит паролей, а сравникает ключи MD5.) Ну пусть не браузер, а плагин, обязательно предлагаемый для безопасности самим браузером. («Следить ли за беопасностью ваших паролей?») Тогда браузеру самому нужен будет мастер-пароль, чтобы отличить своего (своих) пользователя от чужого.
Возможно, если несколько сайтов введут такие предупреждения — это запустит цепную реакцию, наличие такого предупреждения станет «правилом хорошего тона».
А если пользователь на нескольких сайтах увидит предупреждение — это может сформировать привычку не использовать везде пароль от почты.
А если пользователь на нескольких сайтах увидит предупреждение — это может сформировать привычку не использовать везде пароль от почты.
Ох уж эти очевидные вещи по 100 раз пересказанные. Да, многие сайты пишут. Нет, не помогает.
Я бы, увидев такое предупреждение, додумал: "[...], мы храним пароли в открытом виде, не хэшируя, у нас не очень с безопасностью, и мы не доверяем собственным сотрудникам, которые имеют доступ к этим паролям. "
На нормальном сайте пароли, вводимые пользователем, хранятся необратимо зашифрованные md5 или еще каким алгоритмом. Поэтому НОРМАЛЬНОМУ владельцу сайта пофиг от почты он вводит свой пароль или нет, ибо я, как владелец нормального сайта, просто напросто понятия не имею какой пароль он ввел, ровно как и те, кто могут как-то взломать мой сайт и слить базу.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Почему бы не выводить простое предупреждение?